Если на Вашем 1C-Битрикс сайте внезапно появились редиректы на сомнительные ресурсы, появился Javascript-майнер или просто сайт начал работать не так, как раньше, то, вероятнее всего, он был взломан.
Взлом сайта на Битриксе принципиально отличается от взлома сайтов на других CMS по той причине, что это происходит редко, а если и происходит, то одинаково. Все симптомы всегда идентичны, а способ удаления зловредного кода довольно прост. Прежде всего, Вы должны понимать, что проблема не вызывается используемым хостингом и может проявить себя как на обычном shared-хостинге, так и на VDS/Dedicated.
Анализ случаев взлома сайта на 1C-Bitrix показал наличие бэкдора в файлах сайта. Бэкдор означает возможность получить привелегии администратора без использования логина и пароля, для дальнейших деструктивных действий на сайте.
Если Ваш сайт был взломан, то характерными признаками взлома является появление файлов:
А такие важные файлы, как index.php и .htaccess могут содержать код:
Если эти файлы появились, а изменения в index.php внесены -
незамедлительно откатите сайт из резервной копии, в которой нет данных изменений.
После отката проверьте наличие следующих файлов:
bitrix/admin/mobile/new.php
bitrix/tools/new.php
bitrix/new.php
Так же следует обратить внимание на файлы с такими названиями:
bitrix/settings.php (не путать с .settings.php!)
bitrix/mobile/settings.php
bitrix/mobile/config.php
bitrix/tools/settings.php
bitrix/tools/config.php
Если они есть - удалите их, так как они являются бэкдором.
Как найти файлы бэкдоров, если сайтов на сервере много?Для серверов ISPmanager можно использовать команду, находясь под рутом:
cd /var/www && find . -maxdepth 5 -type d -name 'bitrix' | cut -d'/' -f2 | sort | uniq | xargs -I{} find ./{}/data/www -type f -name new.php -o -name settings.php | xargs -I{} grep -ilE '(new CUser\(|->Authorize\()' {}
Команда найдет все сайты, которые используют битрикс, и найдет по паттерну бэкдоры из статьи. Нужно учитывать, что в выборку попадут сайты, которые расположены по стандартному для ISPmanager пути.
Если рут-прав нет, то команду следует адаптировать под используемые условия.
В случае успеха при поиске, команда выведет список файлов, которые попали под паттерн (но могут быть и ложные срабатывания).
К сожалению, данной уязвимости подвержены (согласно нашему анализу) только те версии Bitrix, которые используются нелегально, не зарегистрированные и те, которые не получают обновлений. Вероятно бэкдор загружается каким-то ресурсом до того, как будет скачана пиратская копия битрикса, а бот, который заражает сайты, лишь следует своим сигнатурам/алгоритмам (вероятно они даже не связаны между собой).
